Wer kann mir helfen? Arbeite mit Norton Internet Security 2005 und erhalte die Meldung das auf meinem PC sich der Virus Bloodhound.exploit.56 befindet. Eine Reparatur ist nicht möglich da der Zugriff auf die Datei verweigert wurde. Wie muß ich vorgehen um dieses Übel vom PC entfernen?
Danke
Reinhold
Hallo,
du kannst den Rechner im Abgesicherten Modus starten. Leider schreibst du nicht, welches Betriebssystem du benutzt. Ich schätze mal es ist eine Windows-Variante.
Nachdem der Bildschirm beim Starten die Sstemkomponenten aufgezählt hat (ganz am Anfang), drückst du F8 und wählst „Im Abgesicherten Modus starten“. Dann startest du dein Anti-Virenprogramm nochmal. Jetzt sollte die Datei zu löschen sein.
Gruß
Stanly
Hallo Stanly,
sorry, arbeite mit Windows XP Proffessional. Habe meinen Rechner im Abgesicherten Modus gestartet. Nachdem ich mein Antivirenprogramm starten wollte, erhalte ich die Meldung: Symantec Integrator hat ein Problem festgestellt und muss beendet werden. Dann folgt die übliche Aufforderung… Problembericht senden usw., usf. Fazit: Kann leider das Antivirenprogramm nicht starten. Gibt es noch eine weitere Möglichkeit?
Danke
Reinhold
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Platte formatieren undRechner neu installieren owT
.
so ein schwachsinn
Wegen eines Virus die ganze Festplatte formatieren? Da muss man aber schon arg Langeweile haben.
Mit dem unten vorgeschlagenen Virenprogramm wird das im Abgesicherten Modus sicherlich funktionieren.
Stanly
mal ne Gegenfrage an den ‚Schwachsinn‘-Experten
Bloodhound.exploit.56 ist nach Angabe der Symantec-Seite ein WMF-Exploit, welches Payload als User ausführen kann. Offenbar könnte auch der Payload in einem Versuch bestehen die Rechte zu erweitern und Code nachzuladen. Nach Angabe von Sophos sind Bloodhound-Meldung eine Wildcard für Symantec-Meldungen(!), wenn ein Virus nicht sicher identifiziert wurde.
Mag sein, daß die Datei entfernt werden kann wegen der der Virenscanner Alarm schlug. Fakt ist, daß es sich um etwas sehr neues handelt und daher kann man nicht sicher sein, ob jeglicher nachgeladener Schadcode erkannt wird.
Ich halte es prinzipiell für Schwachsinn nach einer Infektion, vor allem nur auf Grund einer Meldung eines Anti-Viren-Programms nur die entsprechende Datei zu entfernen ohne jede weitere Untersuchung. Und selbst dann wär es angemessener neu zu installieren und sich auch mal Gedanken über den Infektionsweg zu machen.
So, und jetzt eine Frage an Stanly (aka Daniel): Welches sind Deine medialen Fähigkeiten zu wissen, daß bei ihm keine privilege-escalation stattfand?
Zum ersten kann ich schon ins Keyboard beißen wenn auf solche Fragen Antworten in der Titelzeile gegeben werden, owT! Da kann man doch nur davon ausgehen, dass der Antowortende entweder keine Ahnung hat, seine Antwort auch zu erklären undbegründen oder einfach keine Lust. Und weil man das nicht unterscheiden kann, ist soeine Antwort in meinen Augen schwachsinnig. Ich formatiere doch nicht ohne Begründung meine Festplatte!
Offensichtlich konntest du deine Antort ja begründen, da frage ich mich, warum du das nicht gleich gemacht hast.
Desweiteren sehe ich trotzdem keine Ausreichende Begründung gleich die ganze Festplatte zu formatieren. Symantec, Virenexperten, empfehlen keinesfalls eine Formatierung der gesamten Festplatte. Im Gegenteil, Symantec stuft die Bedrohung als gering und die Entfernugn als leicht ein:
„Geographical distribution: Low
Threat containment: Easy
Removal: Easy“
http://www.symantec.com/avcenter/venc/data/bloodhoun…
Die Seite beschreibt auch Sicherheitsvorkerungen und mögliche Infektionswege.
Da würde ich zunächtmal auf Symantec hören und versuchen die infizierten Dateien zu entfernen. Sollte das nicht gelingen, kann man immernoch formatieren.
Jedes mal gleich zu formatieren, wenn ein Virus durch Heurisik-Scan erkannt wird, halte ich für zu falsch.
Stanly
P.S. Was soll es mir sagen, dass du extra meinen richtigen Namen erwähnst? Das du meine im Profil angegebene Homepage besucht hast, auf der mein Name im Impressum steht oder sollte das einfach von deinen „medialen Fähigkeiten“ überzeugen?
Zum ersten kann ich schon ins Keyboard beißen wenn auf solche
Fragen Antworten in der Titelzeile gegeben werden, owT!
ja, kann manchmal passieren
Da
kann man doch nur davon ausgehen, dass der Antowortende
entweder keine Ahnung hat,
das versteh ich nicht, sonst hätte er ja wohl kaum eine so kurze antwort gegeben, wenn er doch so gar keine Ahnung hätte.
seine Antwort auch zu erklären
undbegründen oder einfach keine Lust.
ja, ich hatte in dem fall keine lust ins blaue hinein meine antwort zu begründen. kurze frage, kurze antwort. wem mehr dran liegt, kann nachfragen, wer nur geld für virenscanner ausgebenen will, kann es lassen.
Und weil man das nicht
unterscheiden kann, ist soeine Antwort in meinen Augen
schwachsinnig.
deine begründung, warum es „Schwachsinn“ sei, war eine andere. und sie war ebenso nicht begründet - einfach nur was von wird schon reichen labern, reicht eben auch nicht.
Ich formatiere doch nicht ohne Begründung meine
Festplatte!
mußt du auch nicht. die meisten leute glauben ja auch, wenn sie die eine datei, die der virenscanner (meist NACH einem update) entdeckt, entfernt haben, wären sie virenfrei. das ist ein irrtum, und da musst du mir einfach mal glauben, daß ich da genug erfahrung habe um das einzuschätzen. wenn du details brauchst, kannst du gerne nachfragen.
Offensichtlich konntest du deine Antort ja begründen, da frage
ich mich, warum du das nicht gleich gemacht hast.
oben sagst du, du könntest nicht entscheiden, ob ich z.b. meine antwort nicht begründen konnte oder wollte. nun kannst du es offenbar doch. sehr seltsam - komm mal wieder bischen runter. und wenn du es genau wissen willst: aus deiner position geht hervor: ich habe es nicht gleich gemacht, weil ich es nicht gleich gemacht habe.
sehe ich trotzdem keine Ausreichende Begründung
gleich die ganze Festplatte zu formatieren. Symantec,
Virenexperten, empfehlen keinesfalls eine Formatierung der
gesamten Festplatte.
ich kenne den standpunkt und das wasser, mit dem anti-virenhersteller kochen aus stundenlangen gesprächen mit diesen.
Im Gegenteil, Symantec stuft die
Bedrohung als gering und die Entfernugn als leicht ein:
„Geographical distribution: Low
Threat containment: Easy
Removal: Easy“
mag ja alles sein. microsoft ist ja vor sechs jahren auch angetreten mit der aussage windows xp sei sicher(er als win95). glauben muß man beides nicht - und sollte es auch nicht.
genau diese seite habe ich zuerst durchgelesen. und nicht nur die 4 pauchal-zeilen zu „threat assessment“.
Die Seite beschreibt auch Sicherheitsvorkerungen und mögliche
Infektionswege.
ja. aber sie beschreibt nicht, daß das system auch vollständg offengelegt sein könnte.
Da würde ich zunächtmal auf Symantec hören
und wieso hört der kunde von symantec dann nicht auf symantec? wieso stellt er die frage dann hier und nicht an deren hotline?
und versuchen die
infizierten Dateien zu entfernen.
was „die“ alles so machen?! offenbar sind „die“ aber bisher auf seinem system gescheitert.
Sollte das nicht gelingen,
kann man immernoch formatieren.
man kann viel (versuchen). welchen sinn das macht ist eine andere frage.
Jedes mal gleich zu formatieren, wenn ein Virus durch
Heurisik-Scan erkannt wird, halte ich für zu falsch.
schon. aber nur die datei zu entfernen, wenn was von einem heuristik-scan erkannt wird, halte ich auch für falsch.
Das du meine im Profil angegebene Homepage
besucht hast, auf der mein Name im Impressum steht oder sollte
das einfach von deinen „medialen Fähigkeiten“ überzeugen?
weder noch.
Zum ersten kann ich schon ins Keyboard beißen wenn auf solche
Fragen Antworten in der Titelzeile gegeben werden, owT! Da
kann man doch nur davon ausgehen, dass der Antowortende
entweder keine Ahnung hat, seine Antwort auch zu erklären
undbegründen oder einfach keine Lust. Und weil man das nicht
unterscheiden kann, ist soeine Antwort in meinen Augen
schwachsinnig. Ich formatiere doch nicht ohne Begründung meine
Festplatte!
Meine Herrn, wo hast du nur gelernt, so einen Haufen Blödsinn in so wenigen Sätzen zu kumulieren? Respekt!
Obwohl - es gibt Fälle, in denen eine Neuformatierung nach einem Virenbefall tatächlich als überzogen betrachtet werden könnte. Wenn
sicher festgestellt werden konnte, dass das System ausschliesslich von diesem einen, vom Scanner erkannten Virus, befallen wurde
der Infektionsweg eindeutig nachvollziehbar ist
anhand der vorhandenen Protokolle oder anhand einer Codeanalyse des Schädlings eindeutig sichergestellt werden konnte, dass der erkannte Schädling keinen weiteren Code nachladen konnte bzw. die Infektion noch nicht durch dritte ausgenutzt werden konnte
festgestellt werden konnte, dass sowohl die Infektion als auch die Entfernung des Schädlings keinerlei Einflüsse auf die sonstige Systemstabilität hat
der Schädling nachvollziehbar vollständig entfernt werden konnte
Ist einer dieser Punkte nicht erfüllt, ist eine hinreichende Begründung für ein Neuaufsetzen des Betriebssystems - wie es übrigens von Experten, die sich mit diesem Thema (beruflich) näher befassen, grundsätzlich empfohlen wird - gegeben.
Was man Markus allenfalls vorhalten könnte, ist, dass es mit dem Neuaufsetzen des BS keinesfalls getan ist, solange der Infektionsweg nicht erkannt ist und keine Schritte zur Vermeidung künftiger Infektionen auf diesem Wege unternommen wurden.
Offensichtlich konntest du deine Antort ja begründen, da frage
ich mich, warum du das nicht gleich gemacht hast.
Warum sollte in jedem zweiten Beitrag in diesem Forum die immer gleiche Argumentation ständig wiederholt werden? Okay, Markus hätte vielleicht noch auf die FAQ verweisen können.
Desweiteren sehe ich trotzdem keine Ausreichende Begründung
gleich die ganze Festplatte zu formatieren. Symantec,
Virenexperten,
Symantec sind in erster Linie Experten in Sachen Verkauf. Aber lass uns doch mal vorurteilsfrei lesen, was Symantec in dem von dir gelinkten Dokument so schreibt:
An attacker that exploits this vulnerability could execute code remotely with the privileges of the application used to view the WMF
Oha! Das heisst doch nichts anderes, als dass die Entfernung des Schädlings mir gar nichts mehr nutzt, wenn ein dritter mit dessen Hilfe meinen Computer bereits übernommen hat und sich für die Zukunft Hintertüren eingerichtet hat, so dass er meinen Rechner auch ohne den Bluthund vollständig beherrschen kann! Hmm, was empfiehlt den Symantec für solche Fälle?
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Ohauerha! Na, wenn das mal nichts anderes heisst, als das, was Markus geschrieben hat: Neuaufsetzen des Systems! Was eine Formatierung natürlich voraussetzt. Allerdings nicht ohne vorherige Analyse der Schadensursache (forensic analysis).
Da würde ich zunächtmal auf Symantec hören und versuchen die
infizierten Dateien zu entfernen. Sollte das nicht gelingen,
kann man immernoch formatieren.Jedes mal gleich zu formatieren, wenn ein Virus durch
Heurisik-Scan erkannt wird, halte ich für zu falsch.
Nun, Symantec sagt etwas anderes. Die Entfernung des Schädlings ist ein durchaus nützlicher Schritt, wenn eine Neuinstallation ohne weiteres im ersten Schritt nicht möglich ist, etwa weil noch wichtige Dateien zu sichern sind. Allerdings auch erst nach der Trennung von Internet und lokalem Netz (Isolate infected computers quickly) und keinesfalls als Ersatz anzusehen für weitere bei einer Infektion immer fälligen Maßnahmen.
Gruss
Schorsch
Hallo Stanly
Symantec, Virenexperten, empfehlen keinesfalls eine Formatierung der
gesamten Festplatte.
Das ist falsch. Du solltest die Seite, die Du da verlinkt hast, selber mal vollständig lesen. Insbesondere die ‚Recommendations‘. Kleines Zitat:
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Da würde ich zunächtmal auf Symantec hören und versuchen die
infizierten Dateien zu entfernen.
Das erfordert Zeit und Know How. Ob man auf diesem Weg diese Malware wirklich vollständig wegbekommt, ist auch nicht völlig sicher. Ganz davon abgesehen, dass man nicht weiss, ob nicht noch andere Sachen ihr Unwesen treiben und was die Malware seit der Kompromittierung schon so alles angestellt hat.
Das ist etwas, was den Otto Normal-User in den meisten Fällen überfordert.
Jedes mal gleich zu formatieren, wenn ein Virus durch
Heurisik-Scan erkannt wird, halte ich für zu falsch.
Es ist aber das, was Experten empfehlen. Neben Symantec auch Microsoft. Guckst Du z.B. hier:
http://www.microsoft.com/technet/archive/community/c…
CU
Peter